Atlassian Confluence: настройка источника
Данное руководство описывает процесс настройки сбора и отправки событий Atlassian Confluence в R-Vision SIEM.
Настройка Atlassian Confluence
Настройка логирования для Confluence 8
Для версии Confluence 8 необходимо дополнительно изменить режим логирования.
Убедитесь, что формат сообщения в журнале atlassian-confluence.log стандартный. Для этого:
-
Откройте файл
/opt/atlassian/confluence/confluence/WEB-INF/classes/log4j.properties. -
Убедитесь, что в нем присутствует следующий параметр:
log4j.appender.confluencelog.layout.ConversionPattern=%d %p [%t] [%c{4}] %M %enc{%m}{JSON}%n
Настройка сбора Audit для Confluence Data Center
Для версии Confluence Data Center настройте сбор Audit. Для этого:
-
Войдите в веб-интерфейс от имени администратора системы.
-
Перейдите в меню Основные настройки → Ведение журнала и профилирование.
-
Выберите для журнала Log4j опцию Рабочий режим.
Включение рабочего режима начнет формировать лог-файлы по пути
/var/confluence/log/auditв вашей ОС. -
При необходимости измените уровни логирования для каждого типа событий.
-
Перейдите в раздел Основные настройки → Расширенный журнал.
-
Нажмите на кнопку
и выберите из выпадающего списка вариант Настройки.
-
Для необходимых параметров аудита установите уровень охвата Полная конфигурация.
-
Подключитесь к серверу Confluence по протоколу SSH от имени пользователя с правами root.
-
Откройте файл
server.xmlна редактирование. Путь к файлу по умолчанию:/opt/confluence/conf/server.xml.Если Confluence установлен в нестандартную директорию, найти расположение файла можно с помощью команды:
find / -name "server.xml" 2>/dev/null | grep confluence -
Отредактируйте файл конфигурации. Для этого:
-
Откройте файл в текстовом редакторе.
-
Найдите блок
AccessLogValve. КонфигурацияAccessLogValueпо умолчанию представлена ниже:<Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs" maxDays="30" pattern="%t %{X-AUSERNAME}o %I %h %r %s %Dms %b %{Referer}i %{User-Agent}i" prefix="conf_access_log" requestAttributesEnabled="true" rotatable="true" suffix=".log" /> -
Замените значение параметра
patternна корректное значение:%h %l %u %t "%r" %s %b "%{Referer}i" "%{User-Agent}i". Общий синтаксис должен принять следующий вид:<Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs" maxDays="30" pattern='%h %l %u %t "%r" %s %b "%{Referer}i" "%{User-Agent}i"' prefix="conf_access_log" requestAttributesEnabled="true" rotatable="true" suffix=".log" /> -
Сохраните изменения и закройте редактор.
-
-
Примените изменения, перезапустив сервис. Способ может отличаться в зависимости от способа установки сервиса. Для установленного в систему сервиса используйте команду:
systemctl restart confluence
Настройка конфигурации rsyslog
-
Чтобы настроить передачу событий из файла, создайте файл
/etc/rsyslog.d/01-confluence.confсо следующим содержимым:module(load="imfile" mode="inotify") input( type="imfile" File="/opt/confluence/logs/atlassian-confluence.log" Tag="Confluence_Log" Severity="info" Facility="local4" ) input( type="imfile" File="/opt/confluence/logs/confluence_access.*.log" Tag="Confluence_Apache_Access" Severity="info" Facility="local4" ) input( type="imfile" File="/var/confluence/log/audit_log.d/audit/*.log" Tag="confluence-audit" Ruleset = "confluence" ) if $syslogtag == 'Confluence_Log' or $syslogtag == 'Confluence_Access' then { action(type="omfwd" Target="<target>" Port="<port>" Protocol="<protocol>") stop } ruleset(name="confluence") { action(type="omfwd" Target="<target>" Port="<port>" Protocol="<protocol>") stop )Здесь:
-
<target>— IP-адрес или полное доменное имя (FQDN) коллектора SIEM. -
<port>— порт точки входа Syslog в конвейере SIEM. -
<protocol>— сетевой протокол:tcpилиudp.Использовались стандартные пути по умолчанию. Если путь был изменен, необходимо внести корректировки в конфигурационный файл
Конфигурационный файл rsyslogсодержит стандартные системные пути. Однако администратор может переопределить их во время инсталляции ПО или при кастомизации конфигурации логгирования.
-
-
Перезапустите службу
rsyslog.serviceс помощью команды:systemctl restart rsyslog.service
Если используется Docker-версия Confluence, при запуске контейнера может потребоваться дополнительное монтирование раздела /opt/atlassian/confluence в файловую систему хоста.
|
Настройка в R-Vision SIEM
Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:
-
В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
-
Добавьте на конвейер элемент Точка входа со следующими параметрами:
-
Название: введите название точки входа.
-
Тип точки входа: выберите вариант Syslog.
-
Порт точки входа: введите значение в соответствии с настройками на стороне Atlassian Confluence.
-
Протокол: выберите вариант в соответствии с настройками на стороне Atlassian Confluence.
-
-
Добавьте VRL-трансформацию:
.device_event_id = "confluence"
-
Соедините добавленную точку входа и VRL-трансформацию.
-
Добавьте на конвейер элемент Нормализатор с правилами Apache HTTP-server Access (идентификатор правила: RV-N-231) и Atlassian Confluence Audit (идентификатор правила: RV-N-237).
-
Соедините нормализатор с VRL-трансформацией.
-
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
-
Соедините конечную точку с нормализатором.
-
Сохраните и установите конфигурацию конвейера.
Пример конфигурации конвейера:
После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Atlassian Confluence.
|
Найти события Atlassian Confluence в хранилище можно по следующему фильтру:
|
Была ли полезна эта страница?
